我有一台服务器,已将iptable输入/输出策略设置为丢弃。我只允许从机器外部与 Apache2 和 SSH 等服务建立基本连接。该机器仅允许访问正常运行所需的网站(例如apt-get更新)。然而,每次更新失败时,我都会尝试允许noip2通过它访问互联网iptables,但遇到了问题。目前,我只能将所有策略设置为接受才能使其正常工作,但对我来说,保持我的服务器具有丢弃策略非常重要。
有没有办法允许 noip2 通过 iptables 进行更新?我尝试在网上查找任何方法,但所找到的方法都对我没有任何帮助。
如果这有帮助的话,我正在使用 Ubuntu 16.04。
答案1
- 弄清楚具体需要什么noip2。
- 允许那在你的防火墙中。
因此,确定需要什么(如果文档没有说明)的一种方法是启用日志记录丢弃的数据包。然后您可以运行 noip2,查看日志,并发现它正在尝试访问端口 Y 上的服务器 X。
如果您仅通过链式策略丢弃数据包,只需在末尾添加此规则:
-A OUTPUT -j LOG --log-prefix "dropped: "
然后内核日志 ( dmesg) 将开始收集有关达到该规则的数据包的信息 - 即那些未达到任何先前接受/拒绝/丢弃规则的数据包。使用该信息为 noip2 编写接受规则。
注意:如果编写基于 IP 的规则,请不要忘记检查该地址是否可能属于 Cloudflare 等 CDN。在这种情况下,仅将该单个地址列入白名单不会持续很长时间,您将需要其他方法(例如过滤代理或基于 noip2 程序的 UID/GID 的规则)。